榕职院技〔2017〕2号关于印发福州职业技术学院网络安全与信息化....doc

福州职业技术学院（ 现代教育技术中心 ） 榕职院技〔2017〕2 号 关于印发福州职业技术学院网络安全与信息化管理 制度的通知 各系（部、院）、处室、中心、馆： 为不断完善学院网络安全与信息化管理，现代教育技术中心结 合学校工作实际，制定了《福州职业技术学院网络安全与信息化管 理制度》。现将《福州职业技术学院网络安全与信息化管理制度》 印发给你们，请照此执行。 现代教育技术中心 2017 年 3 月 29 日 福州职业技术学院现代教育技术中心 2017 年 3 月 29 日印发 福州职业技术学院网络安全 和信息化管理制度 目录 第一章总则....................................................................................................- 1 第二章机房出入、操作、运行管理................................................................- 1 第三章网站建设与管理..................................................................................- 2 第四章网络建设与管理..................................................................................- 5 第五章网络与信息安全管理 ..........................................................................- 7 第六章设备管理 ..........................................................................................- 10 第七章系统管理 ..........................................................................................- 11 第八章信息系统授权管理办法.....................................................................- 12 第九章信息保密 ..........................................................................................- 14 第十章安全与病毒防治管理办法 .................................................................- 16 - 本规程作为学校整体网络管理制度。今后各业务流程若独立制定专项管理 制度，应遵循本规程的标准制定，可以详细补充管理细节，便于具体实施操 作，但不得与总规程冲突。 第一章总则 第一条 为加强学院网络安全和信息化建设管理，规范我院校园网建设、管理和服 务活动，充分发挥校园网的教学、科研和生活服务职能，加快我院信息化建设步伐， 根据国家有关网络管理法规，结合学校实际，制定本制度。 第二条本管理制度所称的校园网络系统，是指由校园网络设备、配套的网络线缆 设施、网络服务器、工作站、学校办公及教师教学用计算机等所构成的，为校园网络 应用而服务的硬件、软件的集成系统。 第三条全校师生使用校园网，须遵守国家和学校有关互联网使用管理制度，不得 有非法的和影响校园网正常运行的各种使用行为。 第二章机房出入、操作、运行管理 第四条机房存放有校园网主干网络设备和服务器，非机房工作人员未经批 准不得进入机房。 第五条外单位维护人员需要进入机房工作的，需首先填写登记表，并在机房工作 人员陪同下进入机房。 第六条参观人员需事先联系，并得到现代教育技术中心主任批准，才能在工作人 员陪同下进入机房。 第七条进入机房应遵守机房管理制度并听从机房工作人员指导。 第八条进入机房不得携带任何易燃、易爆、腐蚀性、强电磁、辐射性、流体物质 等对设备正常运行构成威胁的物品。 第九条非机房工作人员不得接触和操作机房内任何设备、设施。 第十条网络设备的添加和更换、网络配置的增删修改以及网络结构的变更必须报 现代教育技术中心批准后方可进行。 第十一条机房内关键网络设备的操作实行双人作业制度，严格按照预制操作流程 进行。有关过程必须按规定进行详细登记和记录，对各类软件、现场资料、档案整理 存档。 第十二条操作人员注意保持机房整洁，操作结束后整理好有关工具和配件。 第十三条值班人员定期巡查机房，检查机房环境支撑设施运行状况。 第十四条设备管理员随时监控机房设备运行状况，发现异常情况应立即按照预案 规程进行操作，并及时上报和详细记录。 第十五条机房工作人员应恪守保密制度，不得擅自泄露各种信息资料与数据。 第十六条机房内严禁吸烟、喝水、吃食物、嬉戏和进行剧烈运动，保持机房安 静。 第十七条定期对机房进行清扫，对机器设备吸尘清洁。 第十八条不定期对机房内设置的消防器材、监控设备进行检查，以保证其有效 性。 第十九条所有重要文档定期整理装订，专人保管，以备后查。 第二十条主机房所有设备未经批准，任何人不得擅自带出机房。如确为工作需 要，须由领导批准同意，方可带出。 第二十一条网络运行发生故障要及时处理并报告领导，并做好故障发生时间，处 理方法和故障原因的记录；遇到停电，要及时关闭服务器和电源，防止设备受到损 坏；定时备份重要数据，备份数据资料保管地点应有防火、防潮、防尘、防磁、防盗 等安全设施。 第二十二条关注机房的运行情况，发现水情、火情以及其他突发事件，采取措施 排除险情，并及时报告领导，杜绝隐患。 第二十三条中心机房和开发调试机房隔离分设。未经负责人批准，不得在中心机 房设备上编写、修改、更换各类软件系统及更改设备参数配置。 第二十四条为确保数据的安全保密，对各业务单位、业务部门送交的数据及处理 后的数据都必须按有关规定履行交接登记手续。 第二十五条部门负责人应定期与不定期对制度的执行情况进行检查，督促各项制 度的落实，并作为人员考核之依据。 第三章网站建设与管理 第二十六条为加强学校门户网站、职能部门及院系二级网站、专题网站（以下统 称学校各类网站）的建设以及上网信息的管理，确保网上信息传递和发布的及时性、 准确性和安全性，特制定本办法。 第二十七条学校各类网站都应树立为学生、教职工和教学科研一线服务的宗旨， 真实、全面反映学校教学、科研、管理等各项工作状况，树立和宣传学校良好形象。 第二十八条学校各类网站须经学校批准方可建设，并采用学校统一要求的技术规 范。 第二十九条重要通知不能用弹出窗口发布，以免被具有过滤功能的 Web 浏览器 或软件过滤。网页上不能发布商业广告。 第三十条校内各级各类网站由现代教育技术中心统一监督和管理，任何单位或个 人需要在校内建设网站均需向现代教育技术中心申请。 第三十一条校内各单位主页（尤其是单位基本信息页面）原则上要求集中放置在 现代教育技术中心的服务器上，服务器由现代教育技术中心统一管理，内容的更新由 各单位负责并通过远程维护，现代教育技术中心提供统一的动态信息发布平台。若必 须建立独立的 WWW 服务器的单位，建议将服务器放在现代教育技术中心机房托 管，以保证服务器运行的稳定和信息安全。 第三十二条任何单位和个人不得在校园网上私设服务器，包括代理、 DHCP、 Email、下载等网络服务。如果需要，须向现代教育技术中心申请并登记备案。 第三十三条凡在校园网上开设 BBS 区域、聊天室，应有明确的责任人，以实名 向现代教育技术中心登记，并遵照国家相关规定在主管部门进行登记和注册，审查、 批准后方可建立。 第三十四条除经批准的电子商务网站外，校内其他网站不得从事带有商业性质的 服务。 第三十五条校园网上的信息和资源属于该信息和资源的所有者。只有在取得了该 信息和资源的所有者的允许后，才能使用该信息和资源。网络上软件的使用应遵守知 识产权的有关法律法规。积极防范，发现病毒应及时采取措施清除，现代教育技术中 心提供技术支持。 第三十六条使用校园网资源的用户及有关工作人员有义务接受并配合国家有关部 门依法进行校园网信息安全监督检查。 第三十七条网页基本信息的要求： （一）学校各类网页内容的发布要遵守有关法律法规，不得侵犯他人版权、署名 权、肖像权、隐私权等合法权益，上网信息必须是非涉密信息。 （二）主页信息内容应及时更新（原则上要求每周至少更新一次，并注明最后更 新时间），保证信息的时效性、准确性、实用性和服务性，文字简洁流畅，文字和图 片内容要清晰、健康。 （三）二级网站在引用学院基本情况方面的数据时，必须与学院网站保持一致。 第三十八条二级网站网页信息的组织与管理： （一）二级网站信息的组织与管理的责任主体为网站的主办单位，主办单位的党 政领导对网页的信息负有直接责任。 （二）二级网站主办单位须严格按照国家及学校的相关规定并结合本部门实际制 定相应的信息组织与管理制度。 （三）二级网站主办单位应坚持按照信息组织与管理制度发布、更换和修改网页 信息，并做好相应的登记和备案，并定期向主管领导汇报。 （四）二级网站网页的信息接受院党委宣传部和现代教育技术中心的监督和检 查，院党委宣传部和现代教育技术中心有权要求二级网站删除、修改和撤销网页中的 不当信息。 第三十九条各类网站必须遵守国务院发布的《中华人民共和国计算机信息网络国 际联网管理暂行规定》、由国务院批准公安部发布的《计算机信息网络国际联网安全 保护管理办法》的规定，严格审查主页的信息；不得利用校园网制作、复制、查阅和 传播下列信息： (一) 煽动分裂国家，破坏国家统一和民族团结，推翻社会主义制度的言论。 (二) 煽动抗拒、破坏宪法和国家法律、行政法规实施的言论。 (三) 泄漏国家机密，危害国家安全等违法犯罪活动。 (四) 捏造或歪曲事实，故意散布谣言，扰乱社会秩序。 (五) 公然侮辱他人或者捏造事实诽谤他人。 (六) 宣传封建迷信、淫秽、色情等信息。 (七) 宣传暴力、凶杀、恐怖等信息。 (八) 侵犯知识产权的言论等。 第四十条每天定时检查留言内容，发现有害信息必须及时删除；按照有关规定做 好信息上网保密工作。 第四十一条网页信息发布负责人必须对上传信息附件进行有效的查毒、杀毒。 第四十二条院党委宣传部与现代教育技术中心定期对二级网站检查，如发现问 题，应迅速整改，若整改不力，关闭其网站。 第四十三条因疏于管理而导致网络安全事故和信息管理事故的，将视情节追究相 关人员的责任。 第四十四条违反国家有关法律法规，构成刑事犯罪的，交由公安机关依法进行处 理。 第四章网络建设与管理 第四十五条校园网及其网络资源统一由学校进行管理调配，未经学校现代教育技 术中心批准，任何单位不得自行使用。任何单位不得私自租用或者架设出口线路，不 得私自与任何公司合作进行网络服务及网络经营活动。 第四十六条学校网络建设项目由现代教育技术中心统一管理，新建、扩建和改建 的网络工程项目需由项目提出单位向现代教育技术中心进行申报，经现代教育技术中 心审核工程方案并同意后，方可进行施工。 第四十七条接入校园网的各单位须有网络管理主管领导和二级网络管理员具体负 责本单位的网络技术工作和网络信息安全工作。 第四十八条校内各种施工项目如可能影响或者破坏到校园网络资源时，需提前向 现代教育技术中心进行申报，与现代教育技术中心一起确定实施方案。 第四十九条校内各单位利用校园网络资源开设网络教室或公用计算机房时，须根 据用途向主管单位申报，经审批后在现代教育技术中心及保卫处进行确认和备案。未 经批准，私自利用校园网资源开设网络服务场所的单位，将报请学校进行相应处罚。 目前已经开设的单位需按要求重新申报并备案。 第五十条与校园网相连的计算机用户建设应当符合国家的有关标准和规定，校园 内从事施工建设，不得危害计算机网络系统安全。 第五十一条网络管理员负责网络及信息的安全工作，建立网络事故报告并定期汇 报，及时解决突出事件和问题。校园网络服务器发生案件，以及遭黑客功击后，现代 教育技术中心须及时备案并向公安机关报告。 第五十二条对所有联网计算机要及时、准确登记备案，网络教室不准对社会开 放。 第五十三条校园网各类服务器中开设的帐户和口令为个人用户所拥有，现教中心 对用户口令保密，不得向任何单位和个人提供这些信息。校园网及子网的系统软件、 应用软件及信息、数据要实施保密措施。 第五十四条校园网禁止使用盗版软件，严禁在校园网内使用来历不明引发病毒传 染的软件或文件。 第五十五条任何单位和个人不得在校园网及其联网计算机上阅读传送有政治问题 和淫秽色情内容的信息。 第五十六条未经现教中心及各子网网管的同意，不得将有关服务器、工作站上的 系统软件、应用软件转录、转发到校外。 第五十七条需要校内交流和存档的数据，按规定地址存放，不得存放在硬盘的 C 盘区，私人文件不得保存在工作电脑中，由此造成的文件丢失、损坏等后果自负。 第五十八条网络客户端设专人负责维护；网络终端用户应遵守网络使用公德，不 得随意更改网络配置，由于非法使用网络所造成的后果由用户承担。 第五十九条任何人都有爱护校园网网络设备的责任和义务，禁止任何破坏网络设 备的行为；未经学校的批准，不得更换、修理网络设备；由于客户端不正当使用网络 及其资源所造成的设备破坏，由客户端维护人和使用人根据破坏程度予以赔偿。在使 用过程中，如发现问题，及时向学校反映。 第六十条违反本规定，有下列行为之一者，学校将对其提出警告，停止其网络使 用；情节严重者，提交有关行政部门或有关司法部门依法处理。 1、查阅、复制或传播下列信息： （1）煽动分裂国家、破坏国家统一和民族团结，推翻社会主义制度，反对共产党 领导； （2）煽动抗拒、破坏宪法和国家法律的实施； （3）捏造或者歪曲事实，故意散布谣言，扰乱社会秩序； （4）公然侮辱他人或者捏造事实诽谤他人； （5）宣扬封建迷信、淫秽、色情、暴力、凶杀、恐怖等。 2、破坏、盗用计算机网络的信息资源，危害计算机网络安全的活动。 3、盗用他人帐号进行非法通讯；私设或非法使用他人 IP 地址参与网络活动。 4、私自转借、转让用户帐号造成危害。 5、非法进入他人计算机，浏览、篡改、删除、复制信息资料。 6、故意制作、传播计算机病毒等破坏性程序。 7、擅自接纳网络用户，私自架设和连接。 8、上网信息审查不严，造成严重后果。 第五章网络与信息安全管理 第六十一条为明确网络与信息安全事故责任主体(以下简称“责任主体”)，追究 网络与信息安全事故的责任，结合学院实际情况，制定本制度。责任主体的范围包括 学院、系、部门、科室或个人等。 第六十二条负责追究责任主体事故责任的单位或个人统称为责任追究主体，包括 学院网络安全与信息化领导小组、各系部处室领导等。 第六十三条网络与信息安全事故责任认定实行“谁主管谁负责、谁运维谁负责、 谁使用谁负责”的原则。 第六十四条发生网络与信息安全事故后，应根据安全事件造成的影响及相关责任 主体的态度，作出如下处理： (一) 批评教育。包括责令责任主体检查、诫勉谈话等； (二) 书面检查。责令责任主体向上级主管领导作出书面检查； (三) 通报批评。在部门范围内对责任主体发文通报，责令整改； (四) 一般处理。降低或扣除责任主体的月薪补贴，将事故写入月度或年度考核 中； (五) 严肃处理。追究网络与信息安全事故发生负有领导责任的负责人的管理责 任，发生严重网络与信息安全事故的，对相关责任人处以罚款、责令其赔偿事故损 失、全院通报批评、降职处理、直至开除。 (六) 报警处理。严重损坏社会或国家利益的，上报当地公安部门处理。 第六十五条责任主体有下列行为之一者，应对其进行批评教育或责令作出书面检 查： (一) 发生一般或较大安全事件，未按要求上报的； (二) 未按规定落实相关网络与信息安全管理制度及技术规范，且未导致安全事件 发生的； (三) 发生重大安全事件后，对调查工作配合不力的。 第六十六条责任主体有下列行为之一者，应当责令其做出书面检查或通报批评： (一) 发生重大安全事件，未按要求上报的； (二) 未按规定落实相关网络与信息安全管理制度及技术规范，导致一般或较大安 全事件发生的； (三) 发生重大或特别重大安全事件，且发生安全事件后处理及时，未对学院财产 或声誉造成影响的； (四) 经过批评教育或责令、做出书面检查后，仍不按规定落实相关网络与信息安 全管理制度及技术规范的； (五) 发生特别重大安全事件后，对调查工作配合不力的。 第六十七条责任主体有下列行为之一者，应当予以通报批评或一般处理： (一) 发生特别重大安全事件，未按要求上报的； (二) 发生重大或特别重大安全事件，且发生安全事件后处理不及时，给学院财产 或声誉带来一定影响的； (三) 发生特别重大安全事件后，对调查工作不配合的。 第六十八条责任主体有下列行为之一者，应当予严肃处理，情况十分严重者应报 警处理： (一) 发生重大或特别重大安全事件造成后果严重并刻意隐瞒或谎报，造成恶劣影 响的； (二) 未按规定落实相关网络与信息安全管理制度及技术规范导致发生重大或特别 重大安全事件，且发生安全事件后处理不及时，给学院财产或声誉带来恶劣影响的； (三) 发生安全事件后销毁证据、弄虚作假的。 第六十九条对应追究责任主体责任而敷衍结案、弄虚作假的，应当对责任追究主 体通报批评。 第七十条有下列情形之一者，不追究责任主体的责任： (一) 因不可抗力导致发生的网络与信息安全事故； (二) 有充分证据证明完全落实了相关安全要求，由未知原因导致网络与信息安全 事故发生的。 第七十一条责任主体主动承认过错并及时修补管理或技术漏洞，减少损失、挽回 影响，态度非常好的，应当予以从轻或减轻责任追究。 第七十二条责任追究过程采用层层负责制，下级责任追究主体对上级责任追究主 体负责。 第七十三条责任追究程序包括调查、对调查报告审核、做出责任追究决定等。 第七十四条对网络与信息安全事故的调查和对事故责任的初步定性由学院现代教 育技术中心领导小组办公室及相应的主管部门共同负责，并对调查报告进行审核。 第七十五条调查报告的审核重点： (一) 事故的事实是否清楚； (二) 证据是否确实、充分； (三) 性质认定是否准确； (四) 责任划分是否明确。 第七十六条责任追究决定： (一) 对责任主体做出批评教育、责令做出书面检查、通报批评时，由学院现代教 育技术中心领导小组办公室直接决定。 (二) 对责任主体做出一般处理、严肃处理时，由学院现代教育技术中心领导小组 办公室、人事、主管部门共同做出决定，并报现代教育技术中心领导小组审批通过后 执行。 第七十七条对责任主体的追究决定由人事、财务、相对应的主管部门、学院现代 教育技术中心领导小组办公室等职能部门分别负责实施。 第六章设备管理 第七十八条设备管理是指对我院信息化系统的主机设备、网络通信设备及外围设 备的管理。 第七十九条设备在投入正式使用前，应依据供货厂商提供的项目和相关指标，由 相关技术人员进行严格的测试，写出测试报告，经批准后才能投入正式使用。 第八十条主机设备和网络通信设备必须有备份，并处于实时备用状态。 第八十一条所有设备由学校统一负责管理，学校要成立管理机构，明确专人负 责，分级管理。 第八十二条建立设备登记和固定资产管理档案，按型号分类入账、入柜，妥善管 理，不得丢失、损坏，保证配套使用。 第八十三条建立软、硬件使用登记簿，对使用和运行情况做出详细记录。 第八十四条系统管理员应做好设备日常运行维护工作，包括： （一）设备的日常监测、检查、记录，及时掌握设备的运行状况。 （二）设备发生故障时应及时维修，必要时通知供货厂商（代理商）的技术人员 到场解决。 （三）制定设备维护计划，对维护的项目、步骤、周期、责任人等做出明确规 定，并严格按照设备维护计划定期进行设备的保养和维护，做好设备维护记录。 （四）建立设备档案，详细记录设备的基本情况（包括放置地点、管理责任人 等）、升级情况、更新情况、故障现象、故障分析、维修过程、处理结果等内容。 第八十五条熟悉、了解设备的规格、性能、基本结构和操作使用方法，严格遵守 操作规程和技术规范，做到规范操作，正确使用。设备使用后必须断开电源和接收信 号源。 第八十六条做好设备的日常维护、保养工作，做到防火、防盗、防雷、防潮、防 尘、防静电。定期检查设备完好率，保持设备良好性能，保障正常的教育教学需要。 第八十七条学校要建立故障登记薄，做好故障原因、责任、处理和维修等记录。 禁止带故障运行设备，在使用过程中发生故障，应立即停机并及时请专职技术人员处 理。 第八十八条不得以任何借口将设备出借、转让、调拨或变卖给非项目单位，也不 允许个人占用。 第八十九条未经允许不得私自拆卸设备或安装其它硬件、软件；不得随意移动设 备，不得进行与教育教学无关活动。 第七章系统管理 第九十条系统管理是指对运行系统中系统软件、应用软件及数据的管理。 第九十一条系统软件的安装须经现代教育技术中心领导审批，由相关系统管理人 员及系统开发人员共同制定详细的操作步骤，并依据具体设备特性，对系统进行合理 配置、测试、调整，最大限度地发挥设备资源优势。 第九十二条任何人不得在系统上安装编译工具、应用系统源程序及其他与我院业 务无关的软件。 第九十三条任何人不得擅自修改系统参数，确需修改应经现代教育技术中心领导 审批，由系统管理人员实施，实施时应有监督，修改后的参数应记录备案。 第九十四条任何人不得擅自对数据库的数据进行修改或恢复操作，确需操作时应 经现代教育技术中心领导审批，由运行系统管理人员实施。 第九十五条对于系统软件升级、应用软件升级或更换、系统切换等重大操作，由 现代教育技术中心及软件开发公司配合，共同制定详细的计划和方案，统一部署，精 心组织，周密安排，把风险降到最低。 第九十六条系统管理部门应及时收集、整理应用软件运行中发生的问题及日志， 逐级上报汇总后，交软件提交者。 第九十七条系统管理部门应做好系统的日常运行维护工作： （一）密切监视系统运行状况，及时处理系统故障，并对故障产生原因进行认真的 分析总结。 （二）定期对系统运行状况进行分析，形成系统性能优化方案，必要时制定主机系 统的升级方案，实施须报现代教育技术中心审批。 （三）定期备份数据，对备份的时间、内容、级别、人员、保管期限、异地存取和 销毁手续等进行明确规定。 （四）系统管理人员根据实际情况填写软件运行情况登记表，同时保留软件运行情 况登记表并形成软件运行档案，对软件的基本情况（版本、配置等）、升级、故障现 象、故障产生原因、故障处理过程及处理结果等进行详细记录。 第八章信息系统授权管理办法 第九十八条 为规范信息系统授权管理，维护信息系统的安全和有序，保障使用信 息系统用户的信息安全，确保信息系统正常稳定的运行，根据《中华人民共和国计算 机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等有关 规定，结合我院实际，制定本办法。 第九十九条 本办法所指的信息系统与《中华人民共和国计算机信息系统安全保护 条例》中的信息系统定义一致：由计算机及其相关的和配套的设备、设施（含网络） 构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处 理的人机系统。包括范围是：学校各类型的管理信息系统、网站、教学资源系统、用 户服务系统等。 第一百条 本办法所指的信息系统用户，是指所有使用信息系统的人员，所指信息 系统的使用包括对系统中的信息和数据具有查询以及添加、删除、更新的操作权限。 第一百零一条 信息系统用户授权应遵循以下原则： （一）及时原则：授权管理人员对用户授予权限和回收权限都要及时，防止出现用 户到岗无法使用系统或者用户离岗仍具有系统使用权限的情况。 （二）安全原则：授权管理人员在授予用户权限时，应根据用户所在岗位的工作职 责，授予用户相应的系统权限，不应给予用户非工作职责范围内的权限，也不应遗漏 用户工作职责范围内的权限。 第一百零二条 信息系统授权管理人员分两个层次，第一层次是信息系统的总管理 员，总管理员由学院现代教育技术中心领导小组任免，管理所有信息系统的应用授 权；第二层次是各单位（包括校机关、各直属单位、各院系、附属单位）的系统管理 员，系统管理员由所在单位任免，并报学院现代教育技术中心领导小组进行备案，管 理本单位的各个岗位，为岗位分配系统角色，并将用户权限授予相应的岗位。 第一百零三条 信息系统的总管理员负责如下工作： （一）新增、修改、删除各信息系统角色，对系统角色分配功能访问权限和数据访 问权限。 （二）新增、修改、删除各信息系统资源权限。 （三）新增、修改、删除信息系统的用户资料。 （四）将各信息系统角色权限赋予用户。 （五）为各单位设置系统管理员，根据其权限分配管理部门及可用系统角色范围。 （六）定期向学院现代教育技术中心领导小组提交书面工作报告，并接受其监督。 第一百零四条各单位的系统管理员负责如下工作： （一）新增、修改本单位的岗位。 （二）将可管理的系统角色赋予某个岗位；或者撤销某个岗位拥有的系统角色。 （三）将用户权限授予本单位某个岗位；或者将本单位某个岗位的用户权限从岗位 中撤销。 （四）定期向总管理员提交书面工作报告，并接受其监督。 第一百零五条 各层次的系统管理员应按照及时和安全的原则对信息系统的用户授 权。 第一百零六条 各层次的系统管理员应保持相对稳定，同时加强协作、配合，重要 岗位实行主办人员和协办人员之间互为补充的 AB 角工作制度。 第一百零七条 各单位加强对本单位信息系统的安全管理，做好下列工作： （一）明确信息系统安全工作的主管负责人和主管部门，并配备具有相应能力的工 作人员作为系统管理员。 （二）各单位应将系统管理员名单及联系方式上报给总管理员，并报学院现代教育 技术中心领导小组进行备案。 （三）各单位系统管理员应该对岗位、岗位对应的系统角色、岗位包含的用户权限 进行纸质和电子的备案，当发生变化时必须同步对备案进行更新。 （四）各单位系统管理员更换时必须以单位函件的方式通知信息系统的总管理员， 由总管理员进行相应权限的更改。 （五）各单位的系统管理员应定期参加培训。 （六）当发生安全事件时，单位系统管理员应迅速采取相应措施并及时向总管理员 进行报告。 （七）各单位的系统管理员应妥善保护自己的帐号资料，登录系统后因故离开要退 出系统。 第一百零八条 信息系统的总管理员应对各单位系统管理员管理的组织机构和系统 角色进行纸质和电子的备案，当发生变化时必须同步对备案进行更新。 第一百零九条 信息系统应建立对资源访问的审计跟踪系统，审计记录：身份及验 证机制的使用，用户对系统资源的访问，操作系统、数据库管理系统及网络系统安全 管理员的行为，以及与应用安全相关的事件。审计记录的访问只能是被授权的只读访 问，任何人不得修改。 第一百一十条 当发生安全事件时，信息系统的总管理员应在 1 小时内报学院现代 教育技术中心领导小组，并迅速采取措施。 第一百一十一条 各层次的信息系统管理员不得利用信息系统从事危害学校利益、 教职工、学生利益的活动，不得危害信息系统的安全。 第一百一十二条学校制定相应的奖励制度，对学校改进信息系统安全作出显著贡 献的个人或集体进行表彰或奖励。 第一百一十三条 对于违反本规定造成损失的单位或个人，视情节轻重，按照学校 相关的管理规定予以相应行政处分。 第一百一十四条 对于有危害公共安全、国家安全、泄露国家秘密以及其他违反法 律、法规和规章规定行为的，由公安、国家安全、保密以及其他监督管理部门依法处 理；构成犯罪的，依法追究刑事责任。 第九章信息保密 第一百一十五条为了保护计算机信息系统处理的国家秘密和学校秘密安全，根据 国家《保密法》、《秘密法实施办法》、《计算机信息系统保密管理暂行规定》（国 保发[1999]1 号）文件精神，结合学校实际，制定本规定。 第一百一十六条本规定适用于采集、存储、处理、传递、输出涉密信息的计算机 信息系统。 第一百一十七条我校信息系统的保密管理实行归口管理、分级负责的原则。全校 计算机信息系统保密工作由学院现代教育技术中心负责指导、协调、监督和检查。校 级信息系统的保密管理工作由现代教育技术中心和保卫处共同负责。各使用单位的信 息系统的保密工作由本单位主管领导负责，并指定专人具体承办。 第一百一十八条各使用单位应根据系统所涉及的信息密级和重要性制订相应的管 理制度，并报现代教育技术中心备案。 第一百一十九条校内各单位在规划、建设、研制、安装和使用各类计算机信息系 统中，要同步规划落实相应的保密设施，必须符合保密要求，加密级别达到国家规定 的标准；对涉及秘密的信息，严格访问权限控制，不得越级越权操作；涉及国家秘密 的各类计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相联 接，必须实行物理隔离；涉及国家秘密的信息，不得在接入国际联网的计算机信息系 统中存储、处理、传递。 第一百二十条涉密计算机信息系统不得与国际互联网连接，必须与互联网保持物 理隔离。与国际互联网连接的计算机，不得存储、处理和传递涉密信息。 第一百二十一条涉密计算机信息系统的安全保护须遵照以下国家标准： 《信息安全等级保护管理办法》 《信息系统安全保护等级定级指南》 《信息系统安全等级保护基本要求》 《信息系统安全等级保护实施指南》 《信息系统安全等级保护测评准则》 《信息系统安全等级保护监督检查要求》 第一百二十二条涉密计算机信息系统的安全保护须遵照“系统定级”→“安全规 划设计”→“安全实施/实现”→“安全运行管理”的实施流程。 第一百二十三条涉密计算机信息系统的安全测评必须遵照“使用单位自查”→ “指导评估机构检测评估”→“监督职能部门监督检查”→“安全运行管理”的检测 流程，以规范测评内容和行为。 第一百二十四条有关单位的涉密信息系统的研制、安装和使用，需报学院现代教 育技术中心审批备案，同时，应根据密级制定相应的技术安全保密措施，技术方案需 报现代教育技术中心技术审核。未经批准的计算机信息系统不得涉及国家和学校秘密 信息。 第一百二十五条涉密计算机的设立及注销应在现代教育技术中心登记备案，被批 准的可作为涉密计算机使用的计算机终端由现代教育技术中心在醒目位置进行标识。 第一百二十六条涉密信息处理场所的设立及更换需报现代教育技术中心备案，应 当按照国家的有关规定，做好安全保护措施。应根据秘密等级设立控制区，并定期根 据需要进行保密技术检查。 第一百二十七条涉密计算机信息系统的物理安全要求符合国家有关保密标准，特 别要采取防电磁信息泄漏的保密措施。 第一百二十八条任何单位及个人发现计算机信息系统泄密后，应及时采取补救措 施，并向现代教育技术中心报告。因泄密对国家和学校造成影响的，根据相关规定给 予处理。后果严重的，需追究当事人所在部门的领导责任。 第十章安全与病毒防治管理办法 第一百二十九条为加强对计算机病毒的预防和治理，维护计算机信息系统安全， 根据国家相关法律法规的规定，参照国际标准化组织 ISO/IEC 17799:2005《信息技术 —安全技术—信息安全管理实践指南》的标准，特制定本管理办法。 第一百三十条本管理办法用以规范个人计算机信息安全及防（反）病毒软件、信 息安全工具的使用，适用于学院各部门、在校师生员工（含离退休人员）等单位或个 人计算机用户（下称计算机用户）。 第一百三十一条本管理办法所称的信息安全是指保障、维护信息的机密性、完整 性、真实性、可用性和合法性。 第一百三十二条本管理办法所称的计算机病毒（下称病毒）是指编制或者在计算 机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一 组计算机指令或者程序代码。 第一百三十三条本管理办法所称的计算机病毒疫情，是指某种计算机病毒爆发、 流行的时间、范围、破坏特点、破坏后果等情况的报告或者预报。 第一百三十四条本管理办法所称的资产，是任何对组织有价值的事物。资产包括 但不仅限于：物理资产（例如：计算机硬件、通讯设备、建筑物）；信息/数据（例 如：文档、数据库）；软件；提供产品和服务的能力（例如：网络服务的能力和质 量）；人员；无形资产（例如：商誉和形象）。 第一百三十五条现教中心是学校具体负责信息安全与计算机病毒防治的部门，具 体职能包括： （一）承担对本校计算机用户的管理、教育与培训工作； （二）及时通报计算机病毒疫情； （三）提供正版的信息安全工具及软件并提供专业的服务支持； （四）提供一定的免费或开源信息安全工具及软件使用建议； （五）提供信息安全紧急响应服务，为各类信息安全事件提供远程协助、现场维 护、安全检查及提出改善建议。 第一百三十六条信息安全员是学校信息安全与计算机病毒防治工作的重要辅助力 量，由各单位（部门）选派具有一定计算机技能的员工担任，可以设为专职或兼职岗 位。各单位（部门）应将信息安全员的名单及联系方式报送现教中心。 第一百三十七条信息安全员应遵守学校有关规定，负责本单位（部门）的信息安 全与计算机病毒防治的具体工作。 第一百三十八条信息安全员应参加学校组织的有关信息安全及计算机病毒防治的 培训，在业务上接受信息中心的指导与监督。 第一百三十九条计算机用户应树立正确的信息安全意识，接受现教中心的管理、 教育与培训，并有责任确保学校及计算机用户个人（包括其他用户）的信息资产免受 损失。 第一百四十条计算机用户应做好预防性安全措施，及时修补个人计算机的安全漏 洞，防止这些漏洞被计算机病毒软件及其所有人攻击或利用。 第一百四十一条计算机用户应在自己所使用的个人计算机上，启用各种信息安全 工具和策略，以防止木马、蠕虫等计算机病毒或恶意软件对计算机中的信息资产的破 坏、窃取以及对校园网络的速度、稳定性以及服务质量的影响。 第一百四十二条计算机用户在进行信息安全和与计算机病毒防治操作时，遵守国 家法律、法规的规定，使用合法授权的信息安全工具及软件，而不应使用盗版的信息 安全工具及软件。使用学校提供的正版的商业版本的信息安全工具及软件的计算机用 户，离开学校后应该主动卸载有关软件，避免违反许可证的限定。 第一百四十三条计算机用户或学校各单位（部门）可以根据需要，自行采购部署 适合自己的正版信息安全工具及软件，并在许可证限定的范围内使用。 第一百四十四条为了及时消除信息安全隐患以及对其他计算机用户的影响，对于 拒绝修补安全漏洞和启用各种信息安全工具的计算机用户，现代教育技术中心可以给 予有关当事人警告提醒，并要求当事人立即采取防范措施，对经过警告仍未改正的、 有可能造成严重后果的，可采取紧急断网处理，直至其改正为止。 第一百四十五条对有下列情况的计算机用户，现代教育技术中心可无需事先警 告，对该计算机用户或部门进行紧急断网处理，直至消除信息安全隐患为止： （一）对造成蠕虫、木马等计算机病毒大面积传播的或可能引起严重后果的； （二）严重影响校园网网速和服务质量的； （三）可能导致其他计算机用户的重要信息泄漏，造成严重损失的； （四）可能导致学校的信息资产被恶意控制或利用，造成损害的； （五）超出信息安全工具许可证使用规定，可能对学校造成名誉或经济上损失的； （六）其他违反法律法规规定的情形的。 第一百四十六条对违反本管理办法规定的所有行为，现代教育技术中心有权对违 规事实进行取证、备案，并视情节轻重报送上级主管部门、当事人所在部门或相关部 门做出进一步的处理。 第一百四十七条对于妨害计算机信息安全的违法行为以及涉嫌进行侵害国家信息 安全的犯罪行为，计算机用户应积极配合公安机关和学校有关部门，积极制裁违法行 为和犯罪行为，共同维护信息安全。